オーストラリアで個人情報を収集する会社には、オーストラリアの個人情報保護法(Privacy Act 1988 (Cth):1988年連邦プライバシー法)が適用される可能性があります。
(1)個人情報保護法の適用
まず、個人情報保護法の保護の対象となる「個人情報(personal information)」とは、「特定された個人、又は合理的に特定できる個人に関する情報又は意見」をいい、当該情報又は意見が真実であるか否か、及び当該情報又は意見がどのような形式で記録されているかを問わない、とされています。
例えば、個人の身長、体重、年齢、性別等に関する情報を集めたとしても、個人の名前が記録されておらず、個人が特定できないものとなっているのであれば、当該情報は個人情報には該当しません。逆に、個人のEメールアドレスのみを集めた場合であっても、当該Eメールアドレスは個人の名前と所属組織の名前から構成されており、当該個人が特定できてしまう場合(例:「msuzuki@claytonutz.com」→「Clayton Utzに勤務する鈴木」と特定できてしまう)には、当該Eメールアドレスは個人情報に該当します。
オーストラリアの個人情報保護法が適用される会社は、「オーストラリアで設立された会社であって、一会計年度における売上金額が3百万豪ドル以上の会社」、又は「オーストラリア国外で設立された会社であっても、オーストラリアで事業を営んでおり、オーストラリア在住の個人から個人情報を収集しており、かつ一会計年度における売上金額が3百万豪ドル以上の会社」です。
上記の「オーストラリアで事業を営んでいるか否か」という点は、オーストラリアにおいて事業拠点を有している場合や物理的な事業活動を行っている場合のみならず、オーストラリアの顧客をターゲットとするウェブサイトの運営等のオンライン上の活動を行なっている場合も含まれます。
例えば、日本で設立された会社であって、オーストラリアにおいて事業拠点を有しておらず、物理的な事業活動を行なっていなくても、英語でオーストラリア人をターゲットとするウェブサイト(オーストラリアがターゲット対象国の一つであれば構わない)を作成し、オーストラリア人に個人情報を入力させるようになっていれば(商品を販売するウェブサイトで、当該商品の発送先としてオーストラリア人顧客にその氏名・住所等を入力させるなど)、当該会社にはオーストラリアの個人情報保護法が適用されると考えられます。
(2)個人情報保護法の規制内容
個人情報保護法が適用される会社は、Australian Privacy Principles(APP)を遵守しなければなりません。このAPPは13個の原則からなりますが、その内容はオーストラリアの個人情報保護法の規制当局であるOffice of
Australian Information Commissioner(OAIC)のウェブサイトで確認することができます。APPでは、個人情報の収集の方法・目的、採るべき保護措置、第三者への開示(特に国外への送付)の可否・方法、本人からのアクセス要求へ対応等について定めています。とりわけ、APPの第一原則では、個人情報保護法が適用される会社は、APPの内容に適合したプライバシー・ポリシーを作成し、ウェブサイト等で閲覧できるようにしなければならないとされています。
(3)違反した場合の罰則
APPの不遵守が重大である場合、又は繰り返し行われる場合には、OAICは裁判所に対して違反を提訴し、APPに違反した会社に対して最大1.8百万ドルの罰金を支払うように請求をすることができます。但し、APPは2014年3月に導入された新しい制度であり、APPの違反によって罰金が課された案件は現時点ではまだありません。したがって、どの程度の違反に対してどの程度の罰金が課されるのかといった実際の運用については、まだ明確になっていません。